Quelle indigence ce message !
https://forum.pfsense.org/index.php?topic=79600.0

Désolé,
Je crée donc un nouveau post pour ne pas déterrer de cadavres….
Cordialement,

mais tu n'a pas besoin de ça pour des règles en "entrée"  ???
le failover s'applique sur l'interface externe, celle qui pointe sur le groupe de gateways

EDIT: enfin… quoique..  :-\  je comprends ce que tu as fait maintenant que je le lis mieux.  :-X

Le CPU est a 100%…mais dans quoi ? Kernel space (sys) ? User space (un programme) ? Irq ? Wait ?
Ou est consommé le temp ?

42

bonsoir,

Les ports de l'ESXi sont bien dans le bon VLAN. y compris celui de de l'interface physique du VLAN 35. La carte virtuelle de l'ESXi est bien dans le VLAN35.

Merci pour le feedback.

Ce qui est intéressant, c'est que pfSense autorise la connexion LDAP avec un DN qui n'est pas un DN pour l'authentification  ;D ;D

@mickael62:

Si je mets un switch après mon convertisseur, comment je fais pour que mes Pfsense puissent communiquer avec lui s'ils sont sur un réseau privé sur la partie Wan ?

Tu oublies un tout petit détail  ;D

Il n'y a qu'un seul pfSense qui communique avec  le convertisseur et donc internet, c'est celui qui supporte la VIP publique.
Pour simplifier, en terme de routage, les pfSense sont sur un réseau privé.
A un instant donné, un seul des deux a l'IP publique. Celle-ci est "flottante".

A noter que le switch s'en moque complètement: les 2 pfSense peuvent se voir au travers du switch via le réseau privé sur l'interface WAN. Ce ne serait pas pareil si c'était un routeur n'est-ce pas  ;)

Pour aller dans le sens de ccnet, on sent que la solution précède le besoin … ce qui n'est jamais bon !

Un serveur de mail interne, c'est ok.
Mais il doit communiquer avec l'extérieur ... normalement ... donc sur le port 25 et pas par un VPN (et sans doute sûrement via le smtp du FAI).
Il peut aussi recevoir les mails de l'extérieur, et au moins ceux d'un logiciel de messagerie d'un utilisateur interne qui serait en déplacement.
Ce dernier cas recommande le port 587 avec l'authentification qui va bien ...

Quand on n'est pas spécialiste (et ce n'est pas une tare), on commence par exprimer un besoin (en français).
Il vient alors une réponse technique ...
Ca c'est la vie normale ...

Seul truc bizarre : On peut créer plusieurs portails captifs, mais on ne peut pas dire à squid l'intitulé du portail à utiliser…

Non ce n'est pas bizarre … si on connait/comprend les 2 notions :

un portail captif : c'est un 'interrupteur' de trafic : il autorise le trafic (=la traversée du firewall) si on s'identifie un proxy (http) (ici Squid) : c'est un intermédiaire entre le client et le serveur, pour le seul protocole prévu (http, https, ftp), avec contrôles possibles : authentification, date/heure, sites autorisés ou non, ...

Il y a authentification, certes oui, ... mais pas sur le même référentiel ! D'où non bizarre !

Bonsoir Chris et merci beaucoup pour ta contribution.

En effet, activer ou désactiver un règle est simple, mais ils y a trop de clics… ;-) Et il faut s'identifier sur la pfSense. Le plus rapide et le plus confortable est donc de le faire via un ordinateur.

Comme évoqué plus haut, je souhaitais le faire via un simple bouton sur une page maison utilisable depuis un iDevice ou un Mac/PC comme qui rigole...

En tous cas, je vous remercie beaucoup. Je vais quand même continué à chercher et vous tiendrai au jus.

A+

Cyril

Bonsoir,
Oui vous avez raison, je pensais qu'il y aurait pu avoir une configuration à faire spécifique sur OpenVpn, ou que ça aurait pu aussi arriver à quelqu’un d'autre !!!!

Merci

Laurent

@infopv:

Avez vous une idée d'où cela peut venir ?
Pourquoi Squid ne fait pas le basculement, surtout qu'il n'a rien à faire pour le coup selon moi… Le routage se fait après le Proxy.

Certes mais tu es dans une situation un peu particulière car le proxy tourne précisément sur la machine qui est en charge du fail-over.
Je pense, comme toi, que ça ne devrait pas avoir vraiment d'impact mais il faut probablement regarder de près (c'est à dire pas juste dans l'interface web) la configuration de Squid et ses logs pour comprendre la source de l'erreur.

J'ai une config assez similaire à la tienne avec 2 WAN en fail-over et un proxy Squid (mais sur une autre machine) et ça fonctionne tout à fait normalement.

Hello,

https://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense

Il faut regarder le champ "source" et ça devrait le faire.

@+

Rapport de bug effectué :
https://redmine.pfsense.org/issues/5136

Je suis bien d'accord, d'autant qu'il revient avec, plus ou  moins le même sujet, présenté un différemment mais tout aussi confus.

Merci à tous pour votre implication et les différentes pistes envisagées.

La modification du MTU comme évoqué par baalserv a semble-t il résolu le problème.  ;D

J'attends un retour utilisateurs mais depuis hier 14h, je pense qu'on m'aurait déjà dit que les PJ ne passaient pas.

Pour info, le FAI est Nordnet  :-\

Yepp I know man!!

Mais le truc c'est que maintenant c'est un labo perso…donc je fais avec les moyens du bord :)
Si jamais j'arrive à faire passer l'achat de 12-13 voire 15 FW pfsense, je vais prendre celui avec 4 ports...et là je peux commencer à profiter pleinement du produit :D

Ceci dit..je viens de finir la mise en place de ma mini infra sur ma vm!! et même mon LAN fonctionne parfaitement! lol..tout ce qu'il faut c'est de la patience!

Merci en tout cas pour votre aide....

Pour info, je reviendrai surement vous embeter encore!! :D :D